Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy CIGRAS 2012
CIGRAS 2012 Plan de la Presentacin Motivacin y Contexto Creacin y operacin de un equipo de respuesta a incidentes de SI CSIRT Tilsor Conclusiones
CIGRAS 2012
CIGRAS 2012 Motivacin
Nuevas tecnologas han revolucionado la forma de proveer servicios y hacer negocios pero tambin han introducido nuevos riesgos Es necesario reconocer y asumir que la seguridad total no existe Incidentes de seguridad informtica son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivacin se ha diversificado e incrementado Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitar los daos y disminuir los costos de recuperacin CIGRAS 2012
CIGRAS 2012 Contexto CIGRAS 2012
CIGRAS 2012 Tendencias Convergencia Interconexin de sistemas internos Interdependencia con sistemas externos Consolidacin hacia estndares abiertos (IP) Consecuencias Exposicin de los sistemas (de infraestructuras crticas) a potenciales ataques de Internet Nuevos riesgos: conexiones wireless, mantenimiento remoto por terceros Ataques pueden tener consecuencias que superen el valor de la organizacin o compaa, con consecuencias significativas CIGRAS 2012
CIGRAS 2012 Desafos de la Seguridad de la Informacin La Seguridad se ha convertido en un rea crtica de los Sistemas de Informacin Cmo encarar este desafo? Gestin de la Seguridad de la Informacin Sensibilizacin y Capacitacin Evaluacin proactiva del nivel de aseguramiento de las plataformas informticas y de comunicacin Gestin de incidentes (qu nivel de criticidad?) CIGRAS 2012
CIGRAS 2012 Incidentes: Impacto Reporte Norton Cyber Crime 2011 Daos del orden de los 338.000 M USD LATAM: Brasil y Mxico son los ms afectados
Reporte ARBOR Networks 2011 Infrastructure Security Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks en LATAM El 70% de los encuestados nunca intentaron efectuar una respuesta a un ataque DDoS
Ataques a gran empresa y gobiernos en aumento Denegacin de servicios (DDoS) Botnets Phishing Defacement CIGRAS 2012
CIGRAS 2012 Incidentes: Soluciones Los expertos piden Centrarse en la deteccin y no nicamente en la proteccin Monitorear y gestionar incidentes Enfocar los esfuerzos de proteccin en los activos crticos y no slo en el permetro Apoyo en CERTs/CSIRTs 40% de encuestados tienen CERT o CSIRT 66% colaboran con un CERT nacional
CIGRAS 2012
CIGRAS 2012 CERT/CC: Origen 1988, Internet Worm afecta a un alto porcentaje de sistemas, dejndolos fuera de servicio Se define estrategia para mejorar respuesta a incidentes de seguridad informtica La agencia DARPA crea el CERT/CC en el SEI de la Carnegie Mellon University CIGRAS 2012
CIGRAS 2012 CERT/CC: Misin Responder a incidentes de seguridad en Internet Servir como modelo de operaciones para otros equipos de respuesta Facilitar la creacin de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies) Facilitar la comunicacin/divulgacin de incidentes informticos y coordinar acciones a nivel nacional o regional
CIGRAS 2012
CIGRAS 2012 Un enfoque organizacional para la gestin de incidentes de seguridad CIGRAS 2012
CIGRAS 2012 CSIRT: Qu es?
A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency (CERT/CC) CIGRAS 2012
CIGRAS 2012 CSIRT: Aspectos fundamentales Visin/Misin Objetivos de alto nivel y sus prioridades Comunidad Objetivo (Constituency) Destinatarios a los que el CSIRT dar servicios Servicios Qu servicios le ofrece el CSIRT a su comunidad objetivo Forma de relacionamiento Forma de cooperacin, coordinacin (o cualquier interaccin) con otros CSIRTs CIGRAS 2012
CIGRAS 2012 CSIRT: Comunidad Objetivo Entidad especfica a la cual el CSIRT sirve Puede ser acotada o no Generalmente refleja la fuente de financiamiento Relacionamiento con la comunidad objetivo: Full: el CSIRT tiene autoridad total Shared: el CSIRT comparte las decisiones None: El CSIRT no tiene autoridad CIGRAS 2012
CIGRAS 2012 CSIRT: Tipos de Comunidad Objetivo Nacionales (CERTuy, ArCERT, CERT.br,) Organizacionales: Banco, Telco (CSIRT ANTEL), Empresa TI (CSIRT Tilsor) Network Service Provider: ISP (CSIRT ANTEL) Tcnicas: el uso de un determinado S.O. Contractual: quienes adquieren un servicio CIGRAS 2012
TILSOR Hoy +250 clientes entre Organismos Pblicos y Empresas Privadas +350 mil horas de consultora en Tecnologas de la Informacin +40 mil horas de entrenamiento certificado +13 mil casos de Soporte Tcnico resueltos
CIGRAS 2012 Por qu un CSIRT? Estrategia de la empresa en Seguridad Informtica: Requerimiento interno Desarrollo de un rea de servicios Desafos Consolidar masa crtica experta Identificar necesidades del mercado Posicionarse como un referente CIGRAS 2012
CIGRAS 2012 Comunidad Objetivo Interna SGSI de Tilsor Infraestructura Tecnolgica y Sistemas de Informacin de Tilsor SA Servicios reactivos, proactivos y calidad de seguridad CIGRAS 2012 Externa Socios y clientes de Tilsor SA Servicios proactivos y calidad de seguridad
CIGRAS 2012 Servicios Reactivos Gestin de incidentes Alarmas Gestin de vulnerabilidades y artefactos Proactivos Observatorio tecnolgico Desarrollo de herramientas Calidad de seguridad Sensibilizacin y capacitacin Evaluacin de seguridad de infraestructuras y aplicaciones
CIGRAS 2012
CIGRAS 2012 Valor adicional A la comunidad interna Apoyo en el proceso de desarrollo de aplicaciones Mitigacin de riesgos en los ambientes de produccin y soporte A nuestros clientes y socios Referente a quien acudir Grupo profesional experto en seguridad Servicios de consultora con valor agregado CIGRAS 2012
CIGRAS 2012 Algunos Ejemplos de Incidentes Resueltos Intento de enrolar servidores de Tilsor en un ataque DDoS a una empresa extranjera Estafa: intento de venta forzada de dominio Internet Problemas de envo de correos debido a inclusin del ISP de Tilsor en una lista negra Deteccin proactiva de vulnerabilidades en paquetes de software utilizados por Tilsor Anlisis y procesamiento de alertas por infeccin con Malware reportadas por antivirus CIGRAS 2012
CIGRAS 2012 Colaboracin y Coordinacin A nivel nacional CERTuy (contacto) CSIRT ANTEL (contacto y colaboracin) A nivel LATAM Proyecto AMPARO - LACNIC: Taller de Gestin de Incidentes itinerante Reunin CSIRTs LATAm LACNIC Inicio de relaciones con TBSecurity CERT (Espaa) CIGRAS 2012
CIGRAS 2012 Algunas conclusiones CIGRAS 2012
CIGRAS 2012 Una herramienta eficaz y til Masa crtica adecuada: dificultad de montar un equipo de esta caracterstica Canales de confianza: importancia de la coordinacin y colaboracin Con la comunidad objetivo Entre pares Interaccin y relacionamiento con el medio acadmico CIGRAS 2012